SPI-Firewalls bieten eine fortschrittliche Paketfiltertechnologie. Anders als herkömmliche Firewalls analysieren sie auch den Status einer Datenverbindung, bevor sie Datenpakete entweder weiterleiten oder blocken. Erfahren Sie hier, warum dieser auf den ersten Blick geringe Unterschied einen deutlichen Zuwachs an Sicherheit für Netzwerke bedeutet – und welche Einsatzmöglichkeiten sich daraus für Unternehmen ergeben.
Die Bedrohungslage im Internet erfordert robuste Lösungen zum Schutz vor ausgeklügelten und ständig neuen Tricks von Cyberkriminellen. In diesem Kontext spielt Stateful Packet Inspection (SPI) eine zentrale Rolle in heutigen digitalen Sicherheitsstrategien. SPI-Firewalls bewerten den Netzwerkverkehr dahingehend, ob Datenpakete zu einer vertrauenswürdigen Verbindung gehören oder nicht.
„SPI“ steht für „Stateful Packet Inspection“, zu Deutsch „zustandsorientierte Überprüfung von Datenpaketen“. Im Gegensatz zu statischen oder auch zustandslosen Filtertechniken (Static Packet Filtering, kurz: SPF) inspizieren SPI-Firewalls die Datenpakete nicht nur auf Basis von Header-Informationen wie der Quell- und Ziel-IP-Adresse sowie dem Quell-/Zielport. Sie berücksichtigen auch den Verbindungsstatus der Session zwischen Sender und Empfänger.
SPI-Firewalls werden auch als Stateful Firewalls bezeichnet – in Abgrenzung zu den Stateless Firewalls (zustandslose Firewalls) und anderen Arten von Firewalls.
Um die Vorteile der Stateful Packet Inspection besser zu verstehen, ist es hilfreich, einen Blick auf die Funktionen und die Entwicklung von Firewalls im Allgemeinen zu werfen. Firewalls gibt es schon seit den Anfängen des Internets. Sie haben die Aufgabe, unerwünschten Datenverkehr zu stoppen – wie eine „Brandmauer“. Ohne Firewall sollte heutzutage kein Unternehmen online gehen.
Betriebssysteme von Computern verfügen meist bereits über eine (persönliche) Firewall. Sie legt anhand vordefinierter Kriterien fest, wann ein Datenpaket für das empfangende Netzwerk als schädlich gilt. Router sind ebenfalls mit einer integrierten Firewall ausgestattet, die den eingehenden Datenverkehr überwacht und kontrolliert, ob er vertrauenswürdig ist.
Je komplexer die Systeme sind, desto notwendiger ist der Schutz durch eine Netzwerk-Firewall. Die zunehmende Vernetzung im Internet of Things (IoT) führt auch zu komplexeren Firewall-Konfigurationen.
Zustandslose Firewalls können nur anhand der Header eines Datenpakets bestimmen, ob ein eingehendes Paket durchgelassen werden kann oder nicht. Einer solchen statischen Firewall (Stateless Firewall) fehlt die Möglichkeit, festzustellen, ob ein Datenpaket auch im Kontext der aktiven Verbindung gültig ist.
Daraus entstehen Risiken wie Cyberangriffe durch Distributed-Denial-of-Service (DDoS)-Mechanismen. Im Zuge eines Distributed-Denial-of-Service-Angriffs wird eine Anfrage mit einer gefälschten Quell-IP-Adresse an einen legitimen Dienst auf dem Zielsystem versandt. Wenn dieser Dienst antwortet, können Cyberkriminelle eine Webadresse mit unerwünschtem eingehenden Datenverkehr „spammen“, weil der Inhalt des Datenpakets aus Sicht der Firewall legitim erscheint und nicht gegen deren Regeln verstößt.
Stateful Firewalls gehen deswegen einen Schritt weiter. Eine SPI-Firewall verfolgt alle Datenpakete im Netzwerk. Sie überprüft, ob ein Datenpaket zu einer aktiven Sitzung gehört, die nach einem vertrauenswürdigen sogenannten TCP-Handshake aufgebaut wurde. Die SPI-Firewall untersucht außerdem nicht nur das Datenpaket, sondern den gesamten Datenfluss. Sind nicht alle Bedingungen erfüllt, verwirft sie ein Datenpaket. Stateful Firewalls erkennen so auch böswillige oder unbefugte Aktivitäten, die in einem legitimen Datenstrom vorkommen können. Auf diese Weise blocken sie selbst raffinierte Malware und Spyware.
Das Prinzip der Stateful Packet Inspection entstand in den 1990er-Jahren und wurde ursprünglich von dem börsennotierten US-amerikanischen Unternehmen Check Point Software Technologies entwickelt. Seither hat sich die Leistungsfähigkeit von SPI kontinuierlich weiterentwickelt.
Lookout: Die Sicherheitslösung für mobile Endgeräte
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.
Netzwerkverkehr im Internet bewegt sich üblicherweise in kleinen Blöcken, den sogenannten Datenpaketen.
Jedes Datenpaket enthält die IP-Adressen des Absender- und des Empfänger-Computers. Klassische Firewalls lassen Datenpakete passieren, wenn diese von einer als sicher geltenden Quelle kommen, beispielsweise von einem akzeptierten Port (z. B. Port 21). Bedenkliche Daten, die über einen vermeintlich ungefährlichen Port kommen, werden jedoch meist nicht erkannt.
Hacker:innen nutzen dies aus, indem sie Datenpakete abfangen und die darin vermerkten IP-Adressen gezielt angreifen. Es gibt sogar Websites im Internet, die ausschließlich dazu dienen, die IP-Adressen von Besucher:innen abzugreifen, um diese später angreifen zu können.
Die Lösung: SPI-Firewalls analysieren IP-Adressen und prüfen den aktuellen Status der Netzwerkverbindung. Sie verfügen über einen Speicher und halten die Informationen der Stateful Packet Inspection in einer Tabelle fest. Dies erfolgt in der Schicht 3 (Netzwerk/Vermittlungsschicht) des OSI-Modells für den Internetdatenverkehr (siehe Grafik unten).
Darüber hinaus arbeitet die SPI-Firewall auch auf der Schicht 4 (Transportschicht), indem sie Protokolle wie TCP und UDP untersucht. Sie prüft z. B., ob ein TCP-Handschlag (Three-Way-Handshake) korrekt durchgeführt wurde, bevor sie Datenpakete erlaubt oder ablehnt. Eine Stateful Inspection Firewall kann außerdem feststellen, ob das jeweils nächste Datenpaket Teil einer Serie ist.
In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.
Die Stateful Packet Inspection ist nicht zu verwechseln mit der Deep Packet Inspection (DPI), die sogenannte Next Generation Firewalls kennzeichnet. Diese analysieren die Nutzlast von Datenpaketen, Protokollen und Anwendungen bis auf den höchsten OSI-Layer (Anwendungsschicht). DPI erfordert aufgrund der hohen Komplexität der Analysen auch eine besonders hohe Rechenleistung.
Secure Access Gateway mit Zscaler
Unsere Security-as-a-Service-Funktion für umfassenden Schutz. Durch die Kombination der Sicherheitsfunktionen von Zscaler mit unseren sicheren Netzwerkdiensten ersetzen Sie herkömmliche Inbound- und Outbound-Gateways durch moderne, cloudbasierte Services.
Zscaler sichert als Web Security Gateway den Internetzugang über jede Verbindung.
Zscaler Private Access ermöglicht als Remote-Access-Lösung den Zugriff auf interne Applikationen On-Premises und in der Cloud.
Stateful Inspection Firewalls behalten alle Verbindungen im Netzwerk fortlaufend im Blick und erstellen ein Protokoll mit allen bislang getroffenen Entscheidungen zum Verbindungsaufbau.
Bei künftigen Entscheidungen zum Filtern von Datenpaketen greift die Firewall auf die Informationen in diesem Protokoll zu. So kann sie leichter entscheiden, ob es sich um erwünschten oder unerwünschten Traffic handelt.
Das ist wichtig, weil ohne die Kenntnis des Verbindungsstatus zwischen zwei Parteien nicht ersichtlich ist, ob die Gegenstelle bestimmte Datenpakete tatsächlich angefordert hat. Sonst könnte es passieren, dass Pakete versendet werden, ohne dass eine aktive bzw. gültige Sitzung zwischen beiden Parteien besteht.
Mittels der Stateful Packet Inspection merkt sich die SPI-Firewall, ob eine Verbindung aktiv ist oder nicht – und blockiert Datenpakete, für die zuvor keine Kommunikation oder Anforderung stattgefunden hat.
SPI-Firewalls – was sind die Vorteile?
Je mehr Datenverkehr Sie im Unternehmen und insbesondere nach und von außen managen müssen, desto mehr Bedrohungen müssen Ihre Tools erkennen. In diesen Fällen eignet sich die Stateful Inspection Firewall, da sie deutlich mehr Sicherheitsfunktionen bietet als normale Firewalls. Außerdem vereinfacht sie das Einstellen komplexer Regeln für die Firewall.
Stateless Firewalls sind eher in kleinen Unternehmen, im Homeoffice oder im privaten Bereich im Einsatz. Wenn der Datenverkehr gering oder das Budget begrenzt ist, kann dies sinnvoll sein – auch weil das Erstellen von Regeln für Firewalls dann überschaubar ist. Aufgrund ihrer eingeschränkten Fähigkeiten eignen sich Stateless Firewalls für Betriebe jedoch nur in Fällen, bei denen z. B. ein Datenverlust, ein Systemausfall oder eine Erpressung keine gravierenden Folgen hätte.
Die Vorteile auf einen Blick:
Mehr Sicherheit: Stateful Firewalls bieten einen umfassenderen Schutz vor fortgeschrittenen Bedrohungen als herkömmliche (Stateless) Firewalls. Denn sie untersuchen den Zustand jeder aktiven Verbindung über das Internet und den Kontext von Datenpaketen.
Dynamische Regelanwendung: SPI-Firewalls können Regeln basierend auf dem Verbindungszustand dynamisch anwenden. Sie lassen Antwortpakete nur zu, wenn sie zu einer als vertrauenswürdig eingestuften Verbindung gehören.
Gute Performance: Dank ihrer intelligenten und präzisen Arbeitsweise bei der Paketfilterung haben SPI-Firewalls weniger Auswirkungen auf die Netzwerkleistung und eine bessere Performance als Stateless Firewalls.
Weniger Fehlalarme: SPI-Firewalls verfolgen den gesamten Datenfluss zwischen zwei Geräten. Das reduziert die Wahrscheinlichkeit einer Verwechslung von legitimen und bösartigen Aktivitäten. Voraussetzung dafür ist es, die SPI-Firewall stets aktuell zu halten und korrekt zu konfigurieren.
Wichtiger Hinweis: Die Implementierung und die Administration von SPI-Technologien erfordern Fachwissen. Der Verwaltungsaufwand ist im Vergleich zu Stateless Firewalls etwas höher. In der Regel überwiegen die Vorteile in Bezug auf Sicherheit und Effizienz deutlich die Kosten und den administrativen Aufwand.
Microsoft Defender für Unternehmen
Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.
Schutz vor Ransomware, Phishing und anderen Bedrohungen
Optimal für IT-Admins in kleinen und mittleren Unternehmen
In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
Stateful Inspection Firewalls, kurz SPI-Firewalls, gehen über statische Paketfiltertechniken hinaus. Sie analysieren Datenpakete auf Basis von Header-Informationen, Ports und Verbindungsstatus.
SPI-Firewalls legen Protokolle für die Datenübertragung an, speichern diese und können Regeln – basierend auf einem Verbindungszustand – dynamisch anwenden.
SPI-Firewalls sind in der Lage, auch fortschrittliche Cyberangriffe zu erkennen und abzuwehren.
Im Vergleich zu zustandslosen Firewalls erhöhen die zustandsorientierten SPI-Firewalls die Netzwerksicherheit von Unternehmen erheblich.
Wächst ein Unternehmen, so wächst meist auch das Firmennetz. Doch nach welchem Prinzip vergeben Sie am besten die Zugriffsrechte für Ihre Mitarbeiter:innen? Vielleicht haben Sie schon einmal von dem sogenannten Role Based Access Control (RBAC) gehört.
Das Rechtemanagement in Computernetzen ist immer eine Gratwanderung. Zu viele Rechte für alle gefährden die Netzwerksicherheit und können im schlimmsten Fall die Ausbreitung von Malware begünstigen. Zu wenige Rechte behindern hingegen Ihre Mitarbeiter:innen bei der täglichen Arbeit und führen zu vermehrten Anfragen bei Ihrer Unternehmens-IT. Gibt es das ideale Modell für die Rechtevergabe in Firmennetzen?
Next Generation Firewalls (NGFWs) gehen über die Funktionen herkömmlicher Firewalls weit hinaus und bieten mehr Schutz für Unternehmensnetzwerke. Erfahren Sie hier, wie NGFWs mit neuen Filterfunktionen und anwendungsbezogene Datenanalysen auch komplexe Malware und Cyberbedrohungen erkennen – und in Echtzeit abwehren.
IT-Umgebungen von Unternehmen sind zunehmend auf lokale Rechenzentren sowie private, hybride und Multi-Cloud-Umgebungen verteilt. Mitarbeiter:innen nutzen betriebliche und private Geräte und arbeiten häufig von verschiedenen Standorten aus. Klassische Betriebsgrenzen erweitern sich. Reaktive Sicherheitsmaßnahmen reichen da nicht aus, auch weil Cyberkriminelle immer raffinierter vorgehen, auch mithilfe künstlicher Intelligenz (KI).
Firewalls der nächsten Generation verfügen über verbesserte Filterfunktionen durch Deep Packet Inspection (DPI) und können selbst ausgeklügelte Angriffe abwehren. Sie können auch Bedrohungen identifizieren, die sich im autorisierten Datenverkehr verstecken.
Praktisch jedes Unternehmen kennt es: Durch einen Systemausfall, einen Cyberangriff, versehentliches Löschen oder andere Ursachen sind wichtige Daten von jetzt auf gleich einfach weg. Deshalb sind Back-ups im Geschäftsumfeld das A und O jeder Digitalstrategie. Wenn Versicherungsverträge, Rechnungen oder Kundendaten nur digital vorliegen, ist der Datenverlust ohne Back-up für Unternehmen ein großes Dilemma. Doch was ist die beste Methode, um Back-ups zu erstellen und wodurch zeichnet sich eine gute Datensicherungsstrategie aus?
Dazu sollten Sie überlegen, welche Daten Sie in welchem Zeitintervall sichern möchten, ob dies vollständig oder teilweise erfolgen soll, und ob physische Datenträger oder Online-Back-ups Priorität haben sollen. Als besonders einfache und sichere Lösung setzt sich die automatisierte Online-Datensicherung immer mehr durch. Damit können Sie auch Daten und Betriebssysteme von Mitarbeitenden im Homeoffice und von mobilen Geräten für den Notfall absichern.
Wie genau Back-ups funktionieren und wie Sie diese in Ihrem Unternehmen effektiv einsetzen, erfahren Sie hier.
Datenmaskierung im Unternehmen: Tipps und Best Practices
Kriminelle versuchen immer häufiger, an sensible Unternehmensdaten zu gelangen. Der Datenschutz ist eine der wichtigsten Pflichten von Unternehmen, doch trotz aller Sicherheitsvorkehrungen kommt es immer wieder zu Datenpannen. Sie können Ihre Daten von vornherein unbrauchbar für Hacker:innen und andere unbefugte Personen machen: Mittels Datenmaskierung, häufig auch als Data Masking bezeichnet, verwandeln Sie sensible in unverfängliche Informationen und machen sie unbrauchbar für Dritte.
Compliance-Regeln und gesetzliche Richtlinien regeln streng den Umgang mit sensiblen Daten.
Unternehmen müssen dafür eine Reihe an Verfahren nutzen. Zu diesen Instrumenten gehört die Datenmaskierung. Die Methode schützt vertrauliche Informationen in weniger sicheren Umgebungen. Data Masking ist nützlich, wenn Sie Daten intern und extern zu unterschiedlichen Zwecken verwenden möchten.
Hier erfahren Sie, wie Datenmaskierung funktioniert, welche Arten es gibt und in welchen Bereichen Sie die unterschiedlichen Methoden in Ihrem Unternehmen am besten einsetzen.
NIS-2: Das steckt dahinter und so handeln Sie konform
Unternehmen unterliegen in der Europäischen Union (EU) nicht nur strengen Regeln hinsichtlich des Datenschutzes. Seit Januar 2023 gibt es auch die sogenannte NIS-2-Richtline der EU, die für eine bessere Cyberresilienz von Unternehmen sorgen soll. Das Ziel: Die novellierte Richtlinie soll vor allem Unternehmen der sogenannten kritischen Infrastruktur (KRITIS) im europäischen Binnenmarkt besser vor Cyberangriffen schützen. Allerdings geht sie weit über den bislang bekannten Anwendungsbereich hinaus. NIS-2 tritt spätestens im Oktober 2024 in Deutschland in Kraft.
Die Europäische Union veröffentlichte die „zweite Richtlinie zur Netzwerk- und Informationssicherheit“ (NIS-2) bereits am 27.12.2022. Bis zur Umsetzung in nationales Recht haben die Mitgliedsstaaten 21 Monate Zeit. NIS-2 ist eine Weiterentwicklung der bisherigen „EU-Richtline über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (NIS-1) aus dem Jahr 2016.
Was bedeutet NIS-2 konkret für Ihr Unternehmen? Sind Sie davon betroffen und falls ja, wie können Sie Ihr Unternehmen fit für die Bestimmungen der Richtlinie machen? Hier erfahren Sie es.